Kudy pronikají kybernetičtí vyděrači a jak se jim bránit
Motto: „Nikdy ve své historii nebylo lidstvo celého světa vystaveno vydírání v tak obrovském rozsahu jako dnes.“ Kevin Savage, Peter Coogan, Hon Lau: The evolution of ransomware, Symantec, 2015
Kudy pronikají kybernetičtí vyděrači a jak se jim bránit
Kybernetické vyděračství je, zdaří-li se útok, sice byznys výnosný, nikoli však stoprocentně spolehlivý a účinný. Neúspěšné pokusy stejně jako v každém jiném kšeftu zvyšují útočníkům náklady, snižují zisk, zvyšují pravděpodobnost vytvoření obrany a nikoli bezvýznamně i pravděpodobnost jejich odhalení. Kybernetičtí vyděrači se proto mnohem více než na cílení útoků soustřeďují na jejich množství.
Jak otevřít bránu
Především je třeba si uvědomit, že ransomware je malware, tedy kód, nejčastěji program nebo skript, který, aby mohl začít škodit, je třeba do cílového systému nejdříve nepozorovaně propašovat, a poté spustit. To není zcela triviální záležitost, zvlášť je-li systém dostatečně zabezpečen. Nejjednodušší a vyděrači nejčastěji využívanou cestou, jak toho dosáhnout, je přesvědčit uživatele, aby ransomware do svého počítače nebo chytrého telefonu stáhl a instaloval sám. Způsobů je nespočet a většina z nich je tak či onak založena na metodách sociálního inženýrství. Od nevinně se tvářících příloh e-mailů, které nezřídka imitují zajímavý, užitečný nebo i důležitý obsah od jakoby důvěryhodných odesílatelů a jejichž otevřením se malware instaluje a spustí, přes podvodné nebo nebezpečné stránky se zdánlivě neškodným obsahem, až po podvodnou inzerci umístěnou na zcela důvěryhodných stránkách, která nabízí atraktivní a mnohdy užitečně se tvářící aplikace nebo služby. Poslední z uvedených možností je poměrně častá. Útočníci zcela legálně zakoupí inzertní prostor na běžném, hojně navštěvovaném portálu nebo webu a umístí zde banner s lákavou nabídkou, za níž se však skrývá škodlivý kód. Stačí kliknout. Provozovatel portálu za obsah inzerce neručí a v dnešní době masivní online propagandy není ani v jeho silách podrobněji zkoumat, co se za každým inzertním bannerem skrývá.
Exploity
V souvislosti s hledáním způsobů průniku do počítačových systémů se často hovoří o tzv. exploitech. V informatice se jako exploit označuje objekt, nejčastěji jde o data nebo posloupnost příkazů, jenž způsobí nezamýšlené nebo neočekávané chování systému, které útočník může využít ve svůj prospěch. Nesprávné chování je většinou důsledkem programátorské chyby a nedostatečně důsledného testování software. Chyba, která umožňuje využít exploit, je označována jako zranitelnost, která vede k destabilizaci či narušení činnosti a nezřídka otevírá cestu dovnitř systému. Zranitelnosti lze nalézt nejenom ve složitých programových komplexech, operačních systémech, serverových či webových aplikacích, ale mnohdy i v celkem jednoduchých skriptech, makrech nebo programových doplňcích, které jiné programy využívají. Aby bylo možné exploit využít, je třeba nejdříve zjistit, zda cílový systém obsahuje příslušnou zranitelnost nebo zranitelnosti. K tomu slouží tzv. exploit kit. Exploit kit je nástroj, který dokáže na dálku, nejčastěji prostřednictvím internetu, vyhledat v cílovém systému zranitelnosti, aplikovat příslušný exploit a zanést do systému škodlivý kód. A nejenom jeden. Jakmile je cesta do systému otevřena, lze do něj obvykle zanést větší počet škodlivých programů. Exploit kity jsou nezřídka součástí nejen výše zmíněných podvodných a nebezpečných webových stránek, ale i stránek zcela regulérních, avšak infikovaných. Tiše a obvykle bez vědomí uživatele testují exploit kity počítače návštěvníků, a jakmile objeví zranitelnost vhodnou pro použití exploitu, využijí ji a do systému zanesou škodlivý kód: ransomware, komponenty pro vytváření botnetů nebo nejrůznější viry. Ty se pak postarají o další. Mnohé exploit kity jsou koncipovány tak, že umožňují do jejich repertoáru jednoduše přidávat nově objevené zranitelnosti a začít je bez velkého úsilí využívat dřív, než autoři programu chybu opraví a uživatelé software aktualizují.
Kdyby jenom ransomware
Pro představu vynalézavosti tvůrců ransomware se krátce podívejme, jakých cest využívají některé vyděračské programy. CryptoWall, který využívá prakticky neprůstřelne AES šifrování, se šíří prostřednictvím exploit kitů, spamu a podvodné reklamy. Stejné cesty využívají útočníci i pro CryptoLocker, přičemž do cílového počítače je zavlečen nejenom sám ransomware, ale i další malware. K infekci dochází nejčastěji otevřením infikované e-mailové přílohy, která obsahuje Upatre, program, který do počítače stáhne trojan GameOver Zeus určený ke krádeži bankovních a dalších privátních informací. Teprve po GameOver Zeus stáhne Upatre také CryptoLocker. Kromě šifrování z počítače oběti přečte ještě e-mailové adresy, které oběť má ve svých adresářích, a využije je k svému dalšímu šíření. Rovněž Locky používá k distribuci spam a infikované webové stránky.
Starší verze ransomware obvykle šifrovaly soubory pouze v napadeném zařízení. Současné vyděračské programy jsou mnohem propracovanější a chytřejší. Jsou např. schopny vyhledat připojené disky a datová úložiště a zašifrovat všechno, na co přijdou. Množství a obsah zašifrovaných souborů jsou dány přístupovými právy uživatele, jehož účet byl ke spuštění ransomware zneužit. Většina ransomware je navíc polymorfní. To znamená, že stavba kódu se mění od instalace k instalaci tak, aby jej nebylo možné odhalit běžnými antimalwarovými programy využívajícími k identifikaci malware signatur. Ransomware navíc může v zasaženém systému soubory šifrovat po relativně dlouhou dobu, aniž by byl odhalen, a uživatel vůbec nemusí vědět, že většina souborů už je zašifrovaná. Při požadavku může ransomware příslušný soubor dešifrovat a poskytnout. Není tak vůbec vyloučeno, že zašifrované soubory budou ukládány i do záloh a pokus o obnovení systému ze zálohy nebude úspěšný. Částečný úspěch v odhalování ransomware přináší využití analýzy chování a umělé inteligence, které dokáží odhalovat a vyhodnocovat anomálie a neobvyklé chování systému a usuzovat podle nich o příčinách.
Jak se ransomware bránit
Ač to mnozí budou považovat za nošení dříví do lesa, platí především mnohokrát omílaná a většinou ignorovaná pravidla. První a nejdůležitější je pozornost a opatrnost. Opravdu se nevyplatí bezhlavě otevírat každou zajímavou přílohu e-mailu, ani když jejím odesílatelem je kamarád nebo rodinný příslušník, banka, u níž mám účet, nebo e-shop, kde běžně nakupuji. Už pozornější pohled na text vlastního e-mailu, jazyk, jakým je napsán, název přílohy nebo obsah, který neodpovídá duchu odesílatele, mohou ledacos napovědět. Je třeba si vždycky uvědomovat, že byť i jediné osudové kliknutí už nelze vzít zpět.
Nesmírně důležité je rovněž udržovat svůj systém aktualizovaný. Většina výrobců software včetně producentů operačních systémů se snaží odhalené zranitelnosti co nejdříve odstranit a chyby v software opravit. Včasnou instalací příslušných aktualizací se možnost úspěchu exploit kitů, ne-li výrazně, tak určitě do značné míry, snižuje. Samozřejmostí je aktuální a hodnotný antivirový systém.
Nenavštěvovat potenciálně nebezpečné stránky a portály. Většina solidních internetových prohlížečů je dnes vybavena nástroji, které jsou schopny hodnotit bezpečnost stránek a upozornit uživatele na případná rizika. Je proto nezbytné mít prohlížeče správně nastavené, nepovolovat činnosti a aktivity, které opravdu pro práci či prohlížení internetu nepotřebujeme, zakázat na stránkách spouštění nejrůznějších skriptů a podobných akcí.
Neinstalovat jakkoli podezřelé či atraktivní programy a aplikace z internetu. A když už nějakou mermomocí opravdu chceme instalovat, doporučuji si nejdříve na internetu ověřit, jaká je její skutečná užitná hodnota a bezpečnost. Nejrůznější rádoby freewary a sharewary při své instalaci rovněž přidávají nejrůznější bezplatná udělátka, počínaje geniálně se tvářícími vyhledávači a konče nástroji pro vylepšení systémů, bez nichž se zaručeně neobejdete. Ve skutečnosti jde v naprosté většině o spyware nebo malware, které skrytě a postupně otevírají cestu dalším škůdcům. Není ani radno se bez bez rozmyslu proklikat všemi „ANO“ instalačního programu nebo ponechat zatržené všechny jeho nabídky. Opravdu se vyplatí každou nejdříve přečíst, a pak se rozhodnout o dalším postupu.
Správně navržené, organizované a pravidelné zálohování je jedním z klíčů úspěšného obnovení. Zálohování prostým kopírováním na druhý disk počítače, byť by šlo o synchronizovaný cloudový disk, je k ničemu, neboť i takové disky, jak jsme se zmínili, moderní ransomware umí zašifrovat. Aplikační zálohování s dostatečnou historií výrazně zvyšuje naději, že k dispozici bude nepoškozená, byť starší záloha, z níž se data a systém podaří obnovit. Spoléhat na body obnovení operačního systému nebo na záchrannou oblast disku, kterou dnes běžně prodávané počítače obsahují, je pošetilost. Ransomware zašifruje jedno i druhé.
A když už „chytíte“ ransomware
Stanete-li se obětí ransomware útoku především nepodléhejte panice. Izolujte infikovaný stroj od okolního světa, aby se ransomware nemohl dál šířit a napadat další zařízení v síti nebo v systému. Informujte příslušné bezpečnostní složky podniku, v případě, že jde o domácí počítač nebo mobilní telefon, informujte policii. Sice vám nepomohou, ale vědí, nebo by měli vědět, jak s takovou informací naložit. Minimálně poslouží k upřesnění statistik. Troufáte-li si a máte-li spolehlivé zálohy, zkuste situaci řešit. Většinou stejně kromě obnovení ze zálohy nic nepomůže. Ale před tím je třeba počítač opravdu řádně vyčistit. Netroufáte-li si, obraťte se na odborníky.
Platit nebo neplatit
Klasická poučka říká, že s teroristy se nevyjednává. Tedy v žádném případě neplatit. Obvyklá obhajoba varianty neplatit argumentuje faktem, že kybernetičtí vyděrači jsou zločinci a že ani po zaplacení nemá oběť žádnou jistotu, že obdrží příslušný klíč a data obnoví. Navíc zaplacení výkupného prý inspiruje zločince k dalším útokům, jejichž obětí se může jednou postižený stát opět, neboť útočníci již vědí, jak na něj. Nota bene i s rizikem vyššího výkupného. Hezky se to povídá, pokud obětí ransomware není zrovna špitál nebo podnik, jemuž každou minutou prostoje informačního systému hrozí úmrtí pacientů nebo utíkají velké peníze. Mnohé z argumentů ani příliš neobstojí. Zaplacení výkupného může stejně dobře ponouknout kriminálníka k dalším útokům, jako jej přibrzdit s tím, že už si nakradl dost a další zlodějina mu nestojí za příslušné riziko. Úplně na začátku jsme rovněž uvedli, že kybernetická kriminalita je byznys. I kybernetičtí kriminálníci se řídí jistou etikou podnikání. A několik nedodání klíčů jim může v kybernetické galérce třeba poškodit pověst a paradoxně tak jejich „podnikání“ ohrozit.
Logika placení je celkem jednoduchá. Je-li oběť schopna data či systém obnovit s náklady a ztrátami menšími, než je výkupné, nemá výkupné smysl platit. V opačném případě musí jít o strategické rozhodnutí.
Nejdůležitější ale je, aby obnovený systém byl maximálně imunní vůči možným novým napadením. Pouhé obnovení ze zálohy s tím, že „jedeme v nezměněné podobně dál“, je pouze novou pobídkou k útoku.
Dag Jeger.